Prensa Panda Security

Tecnologías Panda

Primera Generación: Antivirus

La primera generación de productos antivirus estaba totalmente basada en detección por firmas.

Esta tecnología fue protagonista durante la mayor parte de la década de los 90 e incluía motores polimórficos así como reglas básicas basadas en MS-DOS, Win32, Macro y, más tarde, script heurísticos. Este período también estuvo marcado por el uso masivo de troyanos para Win32 como NetBus y BackOrifice.

Segunda Generación: Antimalware

A comienzos del 2000 nuevos tipos de malware comienzan a aparecer, y los gusanos de red y el spyware centran la atención debido a que provocan epidemias masivas y muy visibles.

Los motores antivirus básicos evolucionan para integrar firewalls personales y ser capaces de identificar y detener gusanos de red, basándose en detección de paquetes, así como en “limpiadores” que restauran la configuración de los sistemas operativos, tales como entradas del registro, ficheros HOST, etc. En esta segunda generación de tecnologías, Panda Software integra la funcionalidad SmartClean en su motor antimalware, diseñado para desinfectar y restaurar el sistema operativo, tras la infección de un spyware o de un troyano backdoor..

Tercera Generación: Proactive technologies

TruPrevent

Panda lanza las tecnologías de análisis de comportamiento TruPrevent en 2004, después de más de tres años de intenso trabajo de investigación y desarrollo.

Desde entonces, TruPrevent ha evolucionado en un conjunto de tecnologías de comportamiento que son notablemente más efectivas a la hora de bloquear proactivamente malware de “día-cero” sin depender de firmas de virus, que cualquier otro intento realizado hasta la fecha en ese sentido.

TruPrevent se adapta constantemente a las nuevas técnicas del malware y de exploits para el aprovechamiento de vulnerabilidades. Actualmente hay más de 5 millones de ordenadores que tienen instaladas dichas tecnologías. Todos ellos actúan como nodos de un honeypot interconectado que informa a PandaLabs sobre cualquier nuevo malware que TruPrevent marque como sospechoso y no haya sido detectado por los firmas de virus tradicionales.

Técnicamente TruPrevent consta de 2 tecnologías principales:

Análisis de comportamiento

El análisis de comportamiento actúa como una verdadera retaguardia defensiva contra el nuevo malware que se ejecute en el sistema, y que haya podido burlar a la detección por firmas, al análisis heurístico y al bloqueo de comportamiento.

Este sistema intercepta, durante la ejecución, las operaciones y llamadas API realizadas por cada programa, correlacionándolas antes de permitir que el proceso se ejecute totalmente. La correlación en tiempo real tiene como resultado el que se permita o se deniegue la ejecución de un proceso basándose solo en su comportamiento.

A diferencia de otras tecnologías de comportamiento, la de Panda es autónoma y no hace preguntas al usuario del tipo: “¿desea permitir que el proceso xyz inyecte un hilo en explorer.exe o en la dirección de memoria abc?”. Esta tecnología no necesita actualizaciones de archivos de firmas, ya que sólo se basa en el comportamiento de las aplicaciones. Un bot no sería un bot si no se comportara como tal, y esto es lo que permite la detección, independientemente de su forma o de su nombre.

Bloqueo de comportamiento

El bloqueo de comportamiento es el segundo componente principal de TruPrevent. Los hackers y el malware se aprovechan de los privilegios de aplicaciones legítimas para atacar los sistemas inyectando código. Para prevenir este tipo de ataques de forma genérica, es muy eficaz utilizar reglas de bloqueo que puedan restringir acciones que las aplicaciones autorizadas puedan realizar en el ordenador.

Este sistema es denominado KRE (Kernel Rules Engine), y está conformado por una serie de políticas que son definidas mediante unas reglas que describen las acciones permitidas y denegadas para una aplicación en particular o para un grupo de ellas.

Pueden establecerse reglas para controlar el acceso de aplicaciones a archivos, cuentas de usuario, registro, objetos COM, servicios de Windows y recursos de la red.

Tecnología Heurística Genética (GHE)

Las tecnologías genéticas se inspiran en el campo del conocimiento del mismo nombre en el ámbito biológico. Estas tecnologías están basadas en la interpretación de “genes digitales” que, en nuestro caso, están representados por unos pocos cientos de características de cada archivo que es analizado.

La tecnología heurística genética (Genetic Heuristic Engine GHE) se lanzó inicialmente en 2005. Su objetivo es correlacionar las trazas genéticas de los archivos utilizando un algoritmo propietario. Las trazas genéticas definen el potencial del software para llevar a cabo acciones maliciosas o dañinas cuando se ejecuta en un ordenador. Así, GHE es capaz de determinar si un archivo es inocuo, o si se trata de un virus, un spyware, un troyano, un gusano, etc.

Inteligencia Colectiva. La Nueva Generación.

Actualmente existe una cantidad de malware en circulación 10 veces superior a la que había hace dos años. La conclusión obvia es que una solución de seguridad debe detectar 10 veces más ejemplares para proporcionar una protección adecuada a los usuarios.

Según un informe realizado por PandaLabs el 72% de las empresas y el 23% de los usuarios domésticos están infectados pese a estar protegidos. En el caso de los usuarios desprotegidos, el porcentaje de infectados es de un 33,28%. Esto pone de manifiesto que las soluciones tradicionales ya no son suficientes (Puede consultar el informe completo en PDF aquí)

Mientras que las soluciones HIPS (Host Intrusion Prevention System) de Panda con TruPrevent elevan el listón sustancialmente detectando y bloqueando la mayoría del malware mediante tecnologías proactivas, sigue siendo posible para muchas amenazas desconocidas atravesar estas defensas.

El enfoque de la inteligencia colectiva se lanzó inicialmente a finales de 2006 en experiencias piloto con el objetivo de ser capaces de detectar “10 veces más malware con un esfuerzo 10 veces menor”.

Los pilares de la inteligencia colectiva son:

  1. Recolección de datos de la comunidad. El sistema recoge y almacena de forma centralizada trazas de comportamiento de programas, rasgos de ficheros, nuevos ejemplares de malware, etc. Estos datos proceden de los propios usuarios de Panda, así como de otras empresas y entidades colaboradoras. Esta extensa capacidad de recogida de información aporta una mayor visibilidad de las amenazas que están activas en Internet.
  2. Explotación automatizada de los datos. El sistema analiza y clasifica automáticamente miles de muestras nuevas al día. Para ello un sistema experto correlaciona los datos recibidos de la comunidad con la amplia base de conocimiento de malware de PandaLabs. El sistema produce automáticamente veredictos (malware o goodware) sobre los nuevos ficheros vistos por la comunidad y se reduce así al mínimo la labor manual a realizar en PandaLabs.
  3. Todo esto se correlaciona de tal manera que permite ofrecer una mayor detección y mejorar la seguridad de los clientes.

Aquí puede descargar un informe más detallado sobre la “Inteligencia Colectiva”